Durchsuchungen bei Google Fonts-Abmahnenden

Gegen Rechtsanwalt Lehnert und dessen Mandanten Martin Ismail ist nun ein Ermittlungsverfahren wegen Abmahnbetrugs eingeleitet worden, wie unter anderem heise online berichtet. Es habe Durchsuchungen gegeben und teilweise wurde erhaltenes Geld per Arrest eingefroren.

Die Ermittlungen fußen hauptächlich darauf, dass die Websites gar nicht von Martin Ismail aufgerufen wurden, sondern automatisiert per Webcrawler nach Google Fonts gesucht wurde. Ein Webcrawler ist aber keine natürliche Person, sodass hier der Anwendungsbereich der DSGVO gar nicht eröffnet ist (Art. 1 Abs. 1 DSGVO). Zudem ist die Abmahnung dann auch rechtsmissbräuchlich.

Ob, wie in dem Artikel auch behauptet, wirklich strittig ist, ob personenbezogene Daten verarbeitet werden, mag ich bezweifeln. Google behauptet dies zwar, räumt aber auch ein, dass sie die IP-Adresse erhalten. Die IP-Adresse ist nach der Entscheidung des EuGH, Urteil v. 19.10.2016, Az. C-582/14, nach herrschender Meinung als personenbezogenes Datum zu betrachten. Binde ich Google in meiner Website ein, liegt damit auch eine Verarbeitung von personenbezogenen Daten i.S.v. Art. 4 Nr. 2 DSGVO vor, indem ich diese übermittle. Weiteres Problem ist auch die Übermittlung in die USA, wo die Daten wohl verarbeitet werden.

Man sollte Google Fonts daher dringend lokal hosten. Das jetzige Ermittlungsverfahren ist aber sehr erfreulich.… Weiterlesen

Google-Fonts Abmahnung

Derzeit sind viele Schreiben im Umlauf, bei denen Betroffene 100 € Schmerzensgeld wegen des Einsatzes von Google Fonts verlangen.

Vorliegen einer Datenschutzverletzung

Eine Datenschutzverletzung liegt vor, wenn Google Fonts so eingebunden sind, dass die Schriftart von Google-Servern nachgeladen wird. Denn dort werden Daten an Google übermittelt, ohne dass eine Rechtsgrundlage für die Übermittlung vorliegt. Das berechtigte Interesse des Art. 6 Abs. 1 S. 1 lit. f DSGVO ist nicht gegeben, da es an der Erforderlichkeit des Einsatzes fehlt (2. Stufe der Prüfung eines berechtigten Interesses, vgl. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Dezember 2021, S. 30), denn die Schriftart kann auch lokal eingebunden werden.

Problem der Datenübermittlung in die USA

Die zweite Problematik ist ggf. eine Datenübermittlung in die USA. Denn nach dem Schrems-II-Urteil des EuGH (EuGH, Urteil vom 6.10.2015 – C-362/14) ist die einzige Rechtfertigung für die Übermittlung die Standardvertragsklauseln, bei denen allerdings der EuGH weitere zusätzliche Maßnahmen fordert, um die Daten vor den Zugriff der US-Behörden zu schützen.

Schmerzensgeldanspruch

Die Frage ist allerdings, ob wirklich der Schmerzensgeldanspruch besteht. Diese Frage ich umstritten. Nach der bisherigen Rechtsprechung der deutschen Gerichte gibt es Schmerzensgeld bei einer Persönlichkeitsrechtsverletzung nur, wenn diese schwerwiegend ist. Einzelne Gerichte haben daher mit dieser Begründung den Schmerzensgeldanspruch bei Datenschutzverletzungen verneint.… Weiterlesen

Passwörter müssen nach Austausch des IT-Dienstleisters geändert werden

Das LG Köln (Urt. v. 18.05.2022, Az. 28 O 328/21) hat entschieden, das ein Unternehmen, das nach dem Wechsel des IT-Dienstleister die Zugangsdaten zu seinem System nicht ändert, gegen Art. 32 (Sicherheit der Verarbeitung) und Art. 5 Abs. 1 lit. f DSGVO (Sicherstellung eines angemessenen Sicherheitsniveau für die Verarbeitung von Daten) verstößt.

In dem konkreten Fall ging es um ein Unternehmen, welches Wertpapierdienstleistungen erbringt und den Kunden den Zugriff auf ein persönliches Dokumentenpostfach ermöglichte. Auf dieses Dokumentenpostfach konnten Hacker Zugriff erlangen, nachdem sie die Zugangsdaten durch einen Cyber-Angriff auf den ehemaligen IT-Dienstleister der Beklagten erbeuteten. Das Vertragsverhältnis zu dem IT-Dienstleister war bereits 2015 ausgelaufen. Eine Änderung des Passworts erfolgte seitdem nicht.

Die Beklagte wurde zu einem Schadenersatz von 1.200 € verurteilt.

Das Gericht hat es für ausreichend angesehen, dass das Versäumnis der Passwortänderung zumindest mitursächlich war. Der Nachweis, dass das nicht geänderte Passwort den Schaden alleine verursacht hat, war also nicht erforderlich. Bei der Schadensbemessung wurde berücksichtigt, dass die Daten in dem Dokumentenpostfach noch nicht missbraucht worden sind. Das Urteil zeigt wieder, dass es noch nicht zu einem Datenmissbrauch gekommen sein muss, um schadensersatzpflichtig zu werden.… Weiterlesen

Krankenhaus: Nur Behandelnde dürfen Zugriff auf die Akte haben

Das LG Flensburg hat entschieden (Urt. v. 19.11.2021, Az. 3 O 227/19), dass ein Behandlungsvertrag u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden begründet, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen. Dies bedeutet, dass nur die Personen Zugriff auf die Akte haben dürfen, die mit der Behandlung auch befasst sind.

Der Schmerzensgeldanspruch war aber verjährt. Das LG Flensburg hat klargestellt, dass die Anrufung der Datenschutzbehörde die Verjährung nicht hemmt, da diese keine Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 BGB ist.

Weiterlesen

Kein Bußgeld wegen DSGVO-Verstoß gegen Deutsche Wohnen

Die Immobiliengesellschaft Deutsche Wohnen muss doch nicht ein Bußgeld in Höhe von 14,5 Millionen € wegen einer nicht DSGVO-konformen Mieterdatenbank bezahlen. Der Berliner Datenschutzbeauftragte hatte gegen die Gesellschaft ein Bußgeldverfahren eingeleitet, weil die Deutsche Wohnen Daten von Mietern wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Steuer-, Sozial- und Krankenversicherungsangaben gespeichert hatte und der Datenschutzbeauftragte die datenschutzrechtlichen Voraussetzungen hierfür nicht sah.

Gegen das festgesetze Bußgeld hatte die Deutsche Wohnen Einspruch eingelegt. Das Berliner Landgericht sah den Bescheid nun als unrechtmäßig an, weil das deutsche Recht eine strafrechtliche und ordnungswidrigkeitenrechtliche Verantwortung für juristische Personen nicht vorsieht. Der Bescheid hätte also gegen natürliche Personen ergehen müssen.

Ein Gesetzentwurf zur Schaffung eines Unternehmensstrafrechts wird derzeit diskutiert.… Weiterlesen

DSGVO zieht im Jahr 2020 an

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.05.2018 anwendbar und sieht im Vergleich zur alten Rechtslage eine deutliche Erhöhung der damals vorgesehenen Bußgelder vor. Während das alte Bundesdatenschutzgesetz bei Datenschutzverstößen eine Geldbuße bis zu 300.000 € vorsah (§ 43 Abs. 3 BDSG a.F.), sind nun Bußgelder bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Während sich die Datenschutzaufsichtsbehörden in der Anfangszeit der DSGVO mit Bußgeldern noch zurückgehalten hatten und vor allem Anweisungen und Empfehlungen gegeben haben, ziehen die Bußgelder nun an. Bereits in der zweiten Jahreshälfte 2019 gab es die ersten größeren Bußgelder. So wurde zum Beispiel die Wohnungsgesellschaft Deutsche Wohnen SE mit einem Bußgeld von 14,5 Millionen € belegt, weil sie ein Archivsystem verwendet hat, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. In der Datenbank seien „teilweise Jahre alte private Angaben betroffener Mieter“ gespeichert gewesen wie etwa Gehaltsbescheinigungen oder Kontoauszüge. Das Unternehmen hatte trotz Hinweise nicht reagiert, sodass nun ein Bußgeld verhängt worden war.

Ebenso wurde 1&1 mit einem Bußgeld in Höhe von 9,5 Millionen € sanktioniert, weil die technisch-organisatorischen Maßnahmen nicht hinreichend implementiert worden seien, um Kundendaten vor der Kenntniserlangung unberechtigter Personen zu schützen.… Weiterlesen

Was bedeutet die Fashion ID-Entscheidung des EuGH?

Am 29.07.2019 hat der EuGH eine lange erwartete Entscheidung zum Thema Social Media Plugins gefällt.

Bereits im März 2019 hatten sich die deutschen Aufsichtsbehörden entsprechend dahingehend positioniert, dass die Nutzung von Google Analytics, nicht auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) gestützt werden könne, wenn eine Weitergabe der Daten an einen Dritten erfolge. Es liege zwar ein berechtigtes Interesse vor (1. Stufe), aber es scheitere an der Erforderlichkeit der Verarbeitung zur Wahrnehmung des Interesses (2. Stufe). Die Reichweitenmessung könne auch auf dem eigenen Server erfolgen. Es müsse daher zwingend eine Einwilligung eingeholt werden. Diese Ansicht lässt sich wohl auch auf Social Media Plugins, also z.B. Facebook Like-Buttons, übertragen.

Nun hat sich der Europäische Gerichtshof zu Social Media Plugins geäußert. Das Urteil erging zwar noch zur Datenschutzrichtlinie und noch nicht zur DSGVO, ist aber übertragbar.

Datenschutz ist abmahnfähig

Der EuGH positioniert sich zu einer seit Anwendbarkeit der DSGVO umstrittenen Frage, nämlich ob die DSGVO eine Sperrwirkung hinsichtlich der Sanktionen entfalte und damit Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ausscheiden.

Dem sei nicht so. Damit ist also europarechtlich klar, dass Datenschutzverstöße nach dem UWG abgemahnt werden können. Die Frage, ob Datenschutz Marktverhaltensregeln im Sinne von § 3a UWG sind, hat der EuGH natürlich hier nicht entschieden, ist aber nach herrschender Meinung ebenso zu bejahen, sodass Datenschutzverstöße grundsätzlich abmahnfähig sind.… Weiterlesen

Datenschutzbeauftragter künftig erst ab 20 Mitarbeiter

Überraschend schnell wurde am Donnerstag, 27.06.2019, nun ein Gesetz verabschiedet, mit dem kleinere Unternehmen beim Datenschutz entlastet werden sollen.

Künftig ist ein Unternehmen erst ab 20 Mitarbeitern, die automatisiert personenbezogene Daten verarbeiten, zur Bestellung eines Datenschutzbeauftragten verpflichtet (wenn nicht ein sonstiger Fall des Art. 37 DSGVO vorliegt: Kerntätigkeit umfangreiche regelmäßige und systematische Überwachung bzw. umfangreiche Verarbeitung besondere Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen). Geändert wird also der jetzige § 38 Abs. 1 BDSG.

Der Bundestag konnte das Gesetz beschließen, da die Regelung eine deutsche ist; Deutschland geht bei der Bestellpflicht eines Datenschutzbeauftragten also über die Regelungen der DSGVO hinaus.

Das Gesetz bedarf noch der Zustimmung des Bundesrats.

Worauf man sich noch nicht einigen konnte, sind Regelungen hinsichtlich der Meinungsfreiheit im Rahmen von Art. 85 DSGVO, insbesondere im Hinblick auf das Kunsturhebergesetz. Dies führt noch zu erheblicher Rechtsunsicherheit. Dies soll noch folgen. Das Kunsturhebergesetz stammt von 1907 und regelt insbesondere die Veröffentlichung von Fotos. Es sieht eine ganze Reihe von Regelungen vor, bei denen eine Einwilligung nicht erforderlich ist (§ 23 KunstUrhG). Diese Regelungen enthält die DSGVO, unter die die Bildveröffentlichung auch fällt, nicht. Das OLG Köln war eines der ersten Gerichte, welches das Gesetz weiterhin für anwendbar befunden hat (OLG Köln, Beschluss vom 18.06.2018 – 15 W 27/18).… Weiterlesen

DSGVO-Bußgeld gegen Beamten und somit auch gegen Arbeitnehmer?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat erstmals ein Bußgeld gegen einen Polizeibeamten verhängt. Und dieses Bußgeld zeigt, dass auch Arbeitnehmer für DSGVO-Verstöße mit einem Bußgeld sanktioniert werden können.

Sachverhalt

Ein Polizeibeamter hatte über seine dienstliche Benutzerkennung eine Halterabfrage beim Kraftfahrbundesamt und anschließend eine Anfrage bei der Bundesnetzagentur getätigt, um an die Handynummer einer privaten Zufallsbekannten zu kommen. Diese verwendete er dann, um sie zu kontaktieren.

Bußgeld der Aufsichtsbehörde

Die Aufsichtsbehörde verhängte gegen den Polizisten ein Bußgeld in Höhe von 1.400 € wegen Verstoßes gegen die DSGVO. Die Entscheidung ist aus zwei Gründen interessant: Normalerweise ist Adressat eines DSGVO-Bußgeldes immer der Arbeitgeber, nicht der Arbeitnehmer. Und öffentliche Stellen in Deutschland müssen sich zwar an das Datenschutzrecht halten, erhalten aber kein Bußgeld, da aufgrund gesetzlicher Regelungen (in Baden-Württemberg: § 28 LDSG) ein solches ausgeschlossen ist. Man möchte also nicht, dass öffentliche Stellen Bußgelder zahlen, die dann sozusagen von der linken in die rechte Tasche des Staates wandern.

Bußgeld für den Arbeitnehmer

Warum erhielt der Polizist das Bußgeld? Die meisten Menschen denken, ein Bußgeld treffe den Arbeitgeber, nicht den Arbeitnehmer. Dies ist grundsätzlich auch richtig, wenn ein Arbeitnehmer einen Datenschutzverstoß begeht im Rahmen der Datenverarbeitung des Arbeitgebers. In diesem Fall ist der Arbeitgeber grundsätzlich der Verantwortliche, den das Bußgeld trifft.… Weiterlesen

Duty-Free-Shop und die Boardkarte

Wer in einem Duty-Free-Shop einkauft, muss seine Boardkarte vorzeigen; diese wird dann gescannt. Ein Datenschützer, der in den Urlaub fliegen will, hat dann ein Problem: Er sucht nach der Rechtsgrundlage für die Datenverarbeitung.

Die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) scheidet aus: Es ist für den Kauf einer Zahnbürste nicht erforderlich, Flugdaten zu erfassen.

In Betracht kämen noch die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Solche sind aber nicht ersichtlich und müssten ohnehin von dem Shopbetreiber gegenüber dem Käufer dargelegt und eine Interessenabwägung vorgenommen werden. Es müsste also gemäß Art. 13 DSGVO informiert und auf das Widerspruchsrecht (Art. 21 DSGVO) hingewiesen werden.

Auch eine Einwilligung, die ja immer freiwillig sein muss, liegt nicht vor. Dies sieht man daran, wenn man die Boardkarte nicht zeigt: Man bekommt dann keine Zahnbürste.

Es ist aber einfacher: Rechtsgrundlage ist die rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Im Duty-Free-Shop kommt man ggf. in den Genuss von umsatzsteuer- und/oder zollfreier Waren. Diese sind abhängig vom Reiseziel. Die Duty-Free-Shop-Betreiber sind verpflichtet, gegenüber den Finanzämtern bestimmte Nachweispflichten zu erfüllen.

Was allerdings auffällt: Eine Information über die Datenverarbeitung nach Art. 13 DSGVO erfolgt nicht.… Weiterlesen